Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\lodctr.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\srdelayed.exe
Изменения в файловой системе
Создает следующие файлы
- C:\g1flg6ge.ini
- <Текущая директория>\config.ini
- <Текущая директория>\post
Удаляет следующие файлы
- C:\g1flg6ge.ini
- <Текущая директория>\post
Подменяет следующие исполняемые файлы
- <Полный путь к файлу>
Подменяет следующие файлы
- <Текущая директория>\post
Самоудаляется.
Сетевая активность
TCP
Запросы HTTP GET
- http://FI##.##00001.COM:1714/CFMMB/CFMMB.txt?10#####
- http://FI##.##00001.COM:1714/CFMMB/CFMMBpuppet.Txt?10#####
- http://fi##.##00001.com:1714/Data/2EAEOOVEJC1SY42QAlJJSAEAQOQN6SNVC4N4CCVNLQ1SE211LSQVV1A2NANOYJ1NLS2lOYA141YJJNSEYANLVSOLV2S2VV1CAO2QLOLYL42VE2lEVJ32303231C4EA31D4C23233C8D533CAB13336B7D63432C...
- http://FI##.##00001.COM:1714/CFMMB/Tips.ini?10#####
UDP
- DNS ASK fi##.#f00001.com
Другое
Ищет следующие окна
- ClassName: 'CrossFire' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\lodctr.exe'
